Mappage et visualisation MITRE ATT&CK
L'infrastructure MITRE ATT&CK représente les tactiques de l'adversaire utilisées lors d'une attaque de sécurité. Elle documente les tactiques, les techniques et les procédures communes qui peuvent être utilisées pour les menaces persistantes avancées contre les réseaux d'entreprises.
Les phases suivantes d'une attaque sont représentées dans le cadre MITRE ATT&CK :
| Tactique MITRE ATT&CK | Descriptif |
|---|---|
| Collection | Collecte des données. |
| Commande et contrôle | Contacte les systèmes contrôlés. |
| Accès aux informations d'identification | Vole des informations de connexion et de mot de passe. |
| Défense Evasion Entreprise uniquement | Evite la détection. |
| Discovery | Détermine votre environnement. |
| Exécution | Exécute un code malveillant. |
| Exfiltration | Vole des données. |
| Évasion Systèmes de contrôle industriel (ICS) uniquement | Éviter les défenses de sécurité. |
| Impact | Tentative de manipulation, d'interruption ou de destruction des systèmes et des données. |
| Accès initial | Accédez à votre environnement. |
| Mouvement latéral | Se déplace dans votre environnement. |
| Persistance | S'implante. |
| Escalade de privilèges | Obtient des droits d'accès de niveau supérieur. |
| Reconnaissance | Rassemblez les informations à utiliser lors de futures opérations malveillantes. Cette tactique n'apparaît dans les rapports MITRE que lorsque la plateforme PRE est sélectionnée dans vos préférences utilisateur. |
| Développement des ressources | Etablissez des ressources pour la prise en charge des opérations malveillantes. Cette tactique n'apparaît dans les rapports MITRE que lorsque la plateforme PRE est sélectionnée dans vos préférences utilisateur. |
Tactiques, techniques et sous-techniques
Les tactiques représentent l'objectif d'une technique ou d'une sous-technique ATT&CK. Par exemple, un adversaire peut vouloir obtenir l'accès aux données d'identification de votre réseau.
Les techniques représentent la façon dont un adversaire atteint son but. Par exemple, un adversaire peut effectuer un vidage des données d'identification pour obtenir l'accès aux données d'identification de votre réseau.
Les sous-techniques fournissent une description plus spécifique du comportement utilisé par un adversaire pour atteindre son but. Par exemple, un adversaire peut vider les informations d'identification en accédant aux secrets de la LSA (Local Security Authority).
Flux de travaux pour le mappage et la visualisation MITRE ATT&CK
Créez vos propres mappages de règles et de blocs de construction dans IBM® QRadar® Use Case Manager, ou modifiez les mappages IBM QRadar par défaut pour mapper vos règles personnalisées et vos blocs de construction à des tactiques et techniques spécifiques.
Economisez du temps et des efforts en modifiant plusieurs règles ou blocs de construction en même temps, et en partageant des fichiers de mappage de règles entre les instances QRadar. Exportez vos mappages MITRE (personnalisés et IBM par défaut) en tant que sauvegarde des mappages MITRE personnalisés au cas où vous désinstallez l'application, puis décidez ultérieurement de la réinstaller. Pour plus d'informations, voir Désinstallation de QRadar Use Case Manager.
Une fois que vous avez fini de mapper vos règles et vos blocs de construction, organisez le rapport de règles, puis visualisez les données à l'aide de diagrammes et de cartes de densité. Les données sur la couverture actuelle et potentielle de MITRE sont disponibles dans les rapports suivants : Rapport de détection dans le temps, Carte et rapport de couverture, et Résumé et tendance de la couverture.